UAT-10027组织利用Dohdoor后门攻击美国教育医疗机构

一个此前未被记录的威胁活动组织自2025年12月以来一直在针对美国教育和医疗保健部门进行恶意攻击活动。

思科Talos将这一攻击活动命名为UAT-10027。攻击的最终目标是部署一个前所未见的后门程序Dohdoor。

"Dohdoor利用DNS-over-HTTPS（DoH）技术进行命令控制通信，并具备下载和反射执行其他载荷二进制文件的能力，"安全研究员Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技术报告中表示。

尽管该攻击活动的初始访问途径目前尚不清楚，但疑似涉及使用社会工程钓鱼技术，导致PowerShell脚本的执行。

该脚本随后从远程暂存服务器下载并运行Windows批处理脚本，进而促进下载名为"propsys.dll"或"batmeter.dll"的恶意Windows动态链接库（DLL）。

DLL载荷（即Dohdoor）通过合法的Windows可执行文件（如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe"）使用DLL侧加载技术启动。植入程序创建的后门访问被用于直接将下一阶段载荷检索到受害者内存中并执行。该载荷被评估为Cobalt Strike Beacon。

"威胁行为者将命令控制服务器隐藏在Cloudflare基础设施后面，确保从受害者机器发出的所有出站通信看起来都是发往可信全球IP地址的合法HTTPS流量，"Talos表示。

"这种技术绕过了基于DNS的检测系统、DNS沉洞和网络流量分析工具对可疑域名查询的监控，确保恶意软件的命令控制通信能够绕过传统网络安全基础设施的检测。"

研究还发现，Dohdoor通过解除系统调用挂钩来绕过端点检测和响应（EDR）解决方案，这些解决方案通过NTDLL.dll中的用户模式挂钩监控Windows API调用。

Raghuprasad告诉The Hacker News，"攻击者感染了几个教育机构，包括一所与其他几个机构相连的大学，这表明潜在的攻击面更广。此外，受影响的实体之一是一家医疗机构，专门从事老年护理。"

对该攻击活动的分析显示，迄今为止没有数据泄露的证据。尽管除了似乎是用于后门进入受害者环境的Cobalt Strike Beacon之外，没有观察到其他最终载荷，但研究人员补充说，基于受害者模式，UAT-10027的行为可能是由经济利益驱动的。

目前尚不清楚UAT-10027的幕后操控者是谁，但思科Talos表示，他们发现Dohdoor与LazarLoader之间存在一些战术相似性，后者是此前被识别为朝鲜黑客组织Lazarus用于攻击韩国的下载器。

"虽然UAT-10027的恶意软件与Lazarus组织在技术上存在重叠，但该攻击活动对教育和医疗保健部门的关注偏离了Lazarus典型的加密货币和国防目标特征，"Talos总结道。

"然而，朝鲜APT行为者曾使用Maui勒索软件攻击医疗保健部门，另一个朝鲜APT组织Kimsuky也曾攻击教育部门，这突出了UAT-10027与其他朝鲜APT在受害者选择上的重叠。"

Q&A

Q1：UAT-10027是什么组织？主要攻击哪些目标？

A：UAT-10027是思科Talos追踪的一个此前未被记录的威胁活动组织，自2025年12月以来一直针对美国的教育和医疗保健部门进行恶意攻击活动。

Q2：Dohdoor后门程序有什么特殊能力？

A：Dohdoor是一个全新的后门程序，利用DNS-over-HTTPS（DoH）技术进行命令控制通信，具备下载和反射执行其他载荷二进制文件的能力，并能通过解除系统调用挂钩绕过端点检测和响应解决方案。

Q3：这次攻击活动的最终目的是什么？

A：目前分析显示没有数据泄露证据，除了部署Cobalt Strike Beacon创建后门访问外，没有观察到其他最终载荷。研究人员认为基于受害者模式，UAT-10027的行为可能是由经济利益驱动的。